Entender el comportamiento de los códigos maliciosos cuando infectan
un sistema es una buena opción para protegerlos de este tipo de ataques.
Una herramienta para lograr esto son las Honeypots,
aunque se debe ser muy cuidadoso al configurarlas para evitar inconvenientes posteriores.
Los ciberdelincuentes cada vez encuentran nuevas formas de llevar a cabo sus actividades ilegales, sobre todo a través de cambios en la propagación y en el tipo de ataques informáticos. Sistemas como las honeypots,
cuya característica valiosa es que sirven para recopilar información de
actividades no autorizadas o ilícitas, pueden proveer información
detallada sobre los tipos de ataques, las herramientas e inlcuso los
motivos de los ciberdelincuentes. Incluso existen proyectos a escala global que utilizan estos sistemas para hacer el seguimiento de estos comportamientos maliciosos.
Las honeypots suelen clasificarse en dos categorías, aquellas que son denominadas de baja interacción tienen la característica de emular servicios o sistemas operativos permitiendo una interacción limitada por parte del atacante y son muy útiles para obtener información cuantitativa acerca de los ataques.
El hecho de limitar la interacción y funcionar en un ambiente
controlado reduce los riesgos pero también las hace útiles solamente
ante ataques específicos y automáticos; ya que para un atacante sería
sencillo identificar que se trata de una simulación. Por otra parte, las
honeypots de alta interacción son sistemas
reales que tienen servicios vulnerables y están expuestos en una red
para capturar información sobre amenazas que la pudieran aprovechar.
Una herramienta que lleva buen tiempo de madurez es Nepenthes, una honeypot
de baja interacción que puede configurarse como un servicio web
vulnerable y tiene la capacidad de identificar un ataque y descargar el
código malicioso, lo cual resulta útil para identificar por ejemplo
ataques a una red y analizar el binario para determinar las
características del incidente.
Después de configurar una herramienta de este tipo y más si se trata de una honeypot de alta interacción, es necesario ser consciente de los servicios vulnerables disponibles y limitar el uso
que podría hacerse de estos después de que sea infectada. Por ejemplo,
si se pone como vulnerable un servicio de correo electrónico para
detectar amenazas que lo afecten, es muy importante limitar las
posibilidades abiertas para que la plataforma sea utilizada para
reenviar mensajes. Si un agujero de este tipo se deja abierto representa
un riesgo legal, porque la infraestructura comprometida podría estar siendo usada para actos ilegales, por ejemplo para propagar phishing de webmail, redes sociales o bancos, los servicios más suplantados,
e incluso alguna podría existir una demanda, ya que los sistemas
infectados se tienen disponibles en la red sin las configuraciones de
seguridad óptimas, lo cual podría catalogarse como negligencia a pesar
de estar siendo utilizado para investigación.
Como se ve estas herramientas pueden llegar a ser bastante útiles para incrementar el entendimiento del funcionamiento de los códigos maliciosos,
si se configura de forma correcta para capturar información valiosa.
Pero a su vez recae sobre su administrador una responsabilidad para que
esta no sea aprovechada para potenciar el tipo de amenazas que se
quieren analizar.
Fuente: Eset-la
Fuente: Eset-la
No hay comentarios:
Publicar un comentario